Лекция: Методы разделения ресурсов и технологии разграничения доступа

На сегодняшний день при создании систем защиты информации применяются (регламентируются соответствующими Руководящими документами Гостехкомиссии России) два метода разграничения доступа — дискреционный и мандатный. Суть первого подхода состоит в табличном задании прав доступа каждого субъекта (пользователя) к каждому объекту (логическому диску, каталогу, файлу). При этом в случае разрешения доступа к объекту субъекту однозначно задается набор правил взаимодействия с объектом — доступ на запись, чтение, чтение/модификацию. В основе второго подхода лежит использование так называемых меток конфиденциальности (мандатов) — чисел, отражающих уровень допуска объекта к информации и, соответственно, уровень конфиденциальности информации, принадлежащей объекту. Допуск к информации субъекту разрешается лишь в том случае, если его мандат не ниже, чем у регламентированного субъекта. При этом субъект может получить доступ по записи к объекту только в том случае, если его мандат не ниже, чем у объекта.

Разделение ресурсов позволяет экономно использовать ресурсы, на­пример, управлять периферийными устройствами, такими как лазерные пе­чатающие устройства, со всех присоединенных рабочих станций.
Исходной информацией для создания системы разграничения доступа является решение владельца (администратора) КС о допуске пользователей к определенным информационным ресурсам КС. Так как информация в КС хранится, обрабатывается и передается файлами (частями файлов), то доступ к информации регламентируется на уровне файлов (объектов доступа). Сложнее организуется доступ в базах данных, в которых он может регламентироваться к отдельным ее частям по определенным правилам. При определении полномочий доступа администратор устанавливает операции, которые разрешено выполнять пользователю (субъекту доступа).
Различают следующие операции с файлами:

• чтение (R);
• запись;
• выполнение программ (Е).

В КС нашли применение два подхода к организации разграничения
доступа :

• матричный;
• полномочный (мандатный).

1. Матричное управление доступом предполагает использование матриц доступа. Матрица доступа представляет собой таблицу, в которой объекту доступа соответствует столбец Оj, а субъекту доступа — строка Si. На пересечении столбцов и строк записываются операция или операции, которые допускается выполнять субъекту доступа i с объектом доступа j. Матричное управление доступом позволяет с максимальной детализацией установить права субъекта доступа по выполнению разрешенных операций над объектами доступа. Такой подход нагляден и легко реализуем. Однако в реальных системах из-за большого количества субъектов и объектов доступа
матрица доступа достигает таких размеров, при которых сложно поддерживать ее в адекватном состоянии.
2. Полномочный или мандатный метод базируется на многоуровневой модели защиты. Такой подход построен по аналогии с «ручным» конфиденциальным (секретным) делопроизводством. Документу присваивается уровень конфиденциальности (гриф секретности), а также могут присваиваться метки, отражающие категории конфиденциальности (секретности) документа.
Таким образом, конфиденциальный документ имеет гриф конфиденциальности (конфиденциально, строго конфиденциально, секретно, совершенно секретно и т. д.) и может иметь одну или несколько меток, которые уточняют категории лиц, допущенных к этому документу («для руководящего состава», «для инженерно-технического состава» и т. д.). Субъектам доступа устанавливается уровень допуска, определяющего максимальный для данного субъекта уровень конфиденциальности документа, к которому разрешается допуск. Субъекту доступа устанавливаются также категории, которые связаны с метками документа.
Правило разграничения доступа заключается в следующем: лицо допускается к работе с документом только в том случае, если уровень допуска субъекта доступа равен или выше уровня конфиденциальности документа, а в наборе категорий, присвоенных данному субъекту доступа, содержатся все категории, определенные для данного документа.
Мандатное управление позволяет упростить процесс регулирования доступа, так как при создании нового объекта достаточно создать его метку. Однако при таком управлении приходится завышать конфиденциальность информации из-за невозможности детального разграничения доступа .
Система разграничения доступа к информации должна содержать четыре функциональных блока:

• блок идентификации и аутентификации субъектов доступа;
• диспетчер доступа ;
• блок криптографического преобразования информации при ее хранении и передаче;
• блок очистки памяти.

Идентификация и аутентификация субъектов осуществляется в момент их доступа к устройствам, в том числе и дистанционного доступа .
Диспетчер доступа реализуется в виде аппаратно-программных механизмов и обеспечивает необходимую дисциплину разграничения доступа субъектов к объектам доступа. Диспетчер доступа разграничивает доступ к внутренним ресурсам КС субъектов, уже получивших доступ к этим системам.